¿Cumple con los requisitos de protección de datos sin revelar demasiado?

Navega tus respuestas
30

Soy un contratista para algunas empresas. Construyo y hospedo sus sistemas en servidores que alquilo de un anfitrión internacional popular. Almaceno el código del sistema en un popular sistema de control de versiones alojado internacionalmente. Existe una combinación de técnicas de autenticación en varios puntos, la mayoría de ellos en las mejores prácticas.

Sin embargo, también pongo algo de oscuridad. SSH está oculto, algunas cosas están encriptadas de manera no obvia. Solo, estos no serían valiosos, pero junto con la seguridad real, elude las amenazas más graves.

Uno de mis clientes recibió una solicitud de proceso de protección de datos de uno de sus clientes hoy: una gran organización gubernamental. Obviamente, se toman muy en serio esta burocracia y nos han enviado un largo cuestionario que solicita detalles de seguridad específicos . No solo acerca de los datos que recopilamos, sino también de dónde están protegidos, cómo están protegidos, dónde están las cerraduras y quién tiene las llaves.

Las últimas cosas son el tipo de cosas que mantengo escondidas de mis clientes, sin mencionar las suyas. Como la persona con todas las llaves, soy muy consciente de este cómic exagerado pero preciso:

Actualmente los clientes de mis clientes no saben de mí. Realmente no. Pero si cumplimos con su solicitud, cualquiera que tenga acceso a esta solicitud, de repente sabe quién soy, dónde estoy, a qué tengo acceso. Si querías entrar en su parte de este sistema, vienes a buscarme.

Y puedes ir más profundo. Parte de esta solicitud menciona las Políticas de control de acceso y proporciona un ejemplo que explica dónde (exactamente, geográficamente) se almacena una clave privada. Si sigues esto a través de cada sistema que toca tangencialmente los datos que envían, tienen un mapa de cada sistema que usamos y saben a quién acudir (o piratear) para obtener acceso a todo. Me desconcierta.

Mi pregunta es, según su experiencia, ¿existe alguna forma de cumplir con las solicitudes de procedimientos de seguridad que no estén dirigidas a personas, computadoras o incluso puertos específicos?

Muy poco de esto es un requisito legal real. Ya cumplimos con los lineamientos de la ley de protección de datos ... Pero nuevamente, al ser una agencia gubernamental grande, su impulso a marcar casillas parece ser más grande que cualquier otra organización.

Solo un par de aclaraciones.

  • Mi cliente tiene detalles sobre el sistema. No tienen acceso directo a las operaciones del servidor. Tienen acceso al sistema de control de versiones y reciben copias de seguridad de datos cifrados en un horario muy regular y tienen un documento (y claves de cifrado) que explica cómo reemplazar el sistema que utilizo por uno propio en caso de que fallezca de manera inoportuna. Hemos discutido la descripción general, pero los detalles exactos están bajo bloqueo físico y clave.

  • No estamos tratando con códigos de lanzamiento. Nombres, información de contacto y direcciones IP. No esperaba que esto fuera relevante para la pregunta, pero la gente está mencionando la regla de los dos hombres. Eso es manera sobre la parte superior aquí. Esto es técnicamente sub-PCI-DSS.

  • Soy desarrollador y de operaciones para esta pequeña empresa (y para otras). Muchos de ustedes hablan de que yo soy el punto débil. Yo soy. Una llave y tienes los datos que tengo. Es por eso que estoy preguntando.

    Por favor, en lugar de solo señalar esto, algunas sugerencias sobre qué hacer con estas cosas a pequeña escala serían más útiles. No puedo ser el único devop en el planeta que trata tangencialmente con los gobiernos.

pregunta Oli 02.08.2016 - 13:48
fuente

4 respuestas

53

Es posible que la solicitud de esta información no solo sea para una auditoría de seguridad, sino también para una auditoría de procesos, y parece que podría estar bien fundada, ya que:

  

Si quieres entrar en su parte de este sistema, vienes a buscarme.

¿Qué pasaría si fueses "atropellado por un camión" mañana? Si usted es el único que conoce los sistemas, sus clientes y los suyos sin duda tendrían un gran problema. Lo ideal es que otra persona también tenga acceso, y que se documente quién es y cómo contactarlos.

Dependiendo de los requisitos, puede ser posible que el titular de las claves sea una empresa en lugar de una persona, tal vez con un contacto primario y secundario nombrado. El contacto principal también podría ser alguien de su cliente, y probablemente deberían tener toda la documentación sobre cómo acceder a sus sistemas en caso de emergencia si no está disponible.

Además, es posible que pueda proporcionar un informe con ciertas cosas eliminadas. Probablemente estén más interesados en saber que la documentación no redactada existe en algún lugar y que las personas adecuadas tienen acceso a ella cuando sea necesario. Probablemente no les importará que los números de puerto, etc. estén en negro, siempre que puedan estar seguros de que existen en un documento en alguna parte.

    
respondido por el TTT 02.08.2016 - 15:33
fuente
30

Usted dijo: "Muy poco de esto es un requisito legal real", pero según el gobierno, esto puede ser un requisito legal muy estricto. Si ese gobierno requiere que sus departamentos / agencias sigan NIST SP800-53 , entonces no pueden simplemente responder "tenemos un chico." Las respuestas a estos controles de seguridad requieren información detallada sobre quién, qué, dónde, cuándo, por qué y cómo. El no proporcionar esa información puede evitar que la entidad gubernamental reciba la autorización para operar ese sistema de información. Por lo tanto, puede esperar que le permita a esa entidad gubernamental saber quién es usted y cuáles son sus procesos.

    
respondido por el LeoB 02.08.2016 - 14:44
fuente
17

No acumular demasiado, pero su pregunta expone una falla grave en el sistema, que es usted.

Usted es un punto único de falla, y eso está bastante lejos de las mejores prácticas.

Dependiendo de los detalles específicos de este contrato gubernamental, tener todas las claves de cifrado con una sola persona puede ser una infracción descalificadora, además de ser una mala práctica. Además del problema de "golpear por un autobús", algunas regulaciones gubernamentales requieren una implementación de la regla de dos hombres / cuatro ojos principio , con frecuencia con una barra mínima de acceso a los sistemas privilegiados que son monitoreados o auditados por otra persona que no sea la persona que accede al sistema, lo cual no es posible si usted es el único con acceso.

Por muy comprensible que sea, está inquieto al revelar información de identificación personal acerca de usted, junto con el hecho de que probablemente sea el mejor punto de ataque en estos sistemas, lo que reduce ambos sentidos y debería ser inquietante. El enfoque apropiado no es ocultar esta vulnerabilidad, sino abordarla. Si tiene sistemas y procesos seguros, son seguros, ya sea que alguien los conozca o no, y en eso debe centrarse. Lograr que sus servidores se conviertan en un centro de datos adecuado y seguro, implementar el monitoreo / auditoría de acceso y eliminarse a sí mismo como un punto único de falla es muy posible, mejoraría la seguridad de su sistema (s) y haría que la respuesta a este cuestionario sea menos problemática . Como aspecto positivo, esta es probablemente una oportunidad para aumentar la venta de este cliente en particular (y quizás de otros) en esas mejoras de seguridad.

    
respondido por el HopelessN00b 03.08.2016 - 05:00
fuente
6

Otros han mencionado que eres un punto único de falla en los sistemas / procesos del cliente de tu cliente, así que no repetiré todo eso nuevamente.

Lo que voy a decir es que no se le puede pedir que explique todo hasta el último detalle. Es posible que realmente puedas describir tus sistemas como lo has hecho en la pregunta. Sin embargo, todo esto depende de las preguntas que le hayan formulado y de la jurisdicción legal en la que se rige.

Por ejemplo, es posible que no necesite decir "Mantengo las claves y la configuración en github", pero es posible que solo tenga que decir "Mantengo las claves y la configuración en un servicio de control de versión administrado, privado y de terceros. en los EE.UU". Este último otorga la jurisdicción legal de los servidores que alojan los datos, pero no necesariamente revela la ubicación exacta de los mismos.

Otra cosa a tener en cuenta es que si alguien está tomando la burocracia muy en serio, es posible que, digamos, tenga algunos complejos de superioridad sin resolver. Es decir, pueden estar haciendo preguntas que son demasiado detalladas o precisas, para las cuales no existe una justificación en la legislación de protección de datos. El hecho de que hayan preguntado "¿Qué pasos ha tomado para proteger SSH? Por favor, detalle los puertos alternativos utilizados, las secuencias de detonación de puertos u otros detalles requeridos para el acceso", no significa que realmente tenga que revelarles todo eso.

Habiendo dicho todo eso, tu cliente directo tiene absolutamente derecho a pedir ese tipo de cosas (porque si te atropella un autobús, son los que intentan manejar las cosas sin ti). No existe (probablemente) ninguna ley que rija esto, excepto "si no lo haces, no esperes que te contraten". Puede que sea hora de comenzar a hablar sobre algún tipo de soluciones de custodia con ellos.

    
respondido por el Ralph Bolton 03.08.2016 - 11:30
fuente

Lea otras preguntas en las etiquetas

¿Es fundamentalmente posible una infraestructura de servidor que la persona más inteligente no pueda romper? NSA Suite A Criptografía: ¿Seguridad a través de la oscuridad?